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Análisis de aplicaciones en iPhone 
El caso de CoronApp-Colombia 


En este artículo describimos cómo hicimos nuestro primer 
análisis de una aplicación en ¡OS, específicamente de una 
versión reciente de CoronApp - Colombia, la cual ya habíamos 
revisado en una versión previa para Android. Este nuevo análisis 
en iPhone nos permite extender nuestros análisis para ver que 
la aplicación muestra mejoras en seguridad digital y temas de 
privacidad, aunque todavía hay pendientes y falta por hacer 1 . 

Hasta ahora, los informes de análisis de aplicaciones para 
smartphones y tabletas que hemos publicado desde K+Lab -el 
laboratorio de seguridad digital y privacidad de la Fundación 
Karisma- se han centrado en el sistema operativo Android. Hasta hace poco, no 
habíamos desarrollado la capacidad para analizar una aplicación desde un sistema 
operativo Apple. La razón de esto es que si el modelo de Apple se enfoca en una 
experiencia del usuario agradable y en seguridad y privacidad reforzadas, los 
dispositivos Apple -en particular los ¡Phones- "tienen su capot cerrado y sellado". 
No es fácil - para un usuario e incluso para un técnico - "acceder al motor" para 
analizar su funcionamiento interno. 

A través de este análisis explicamos cómo la aplicación CoronApp_Colombia no 
es la misma en Android que en ¡OS. La aplicación en ¡OS es más respetuosa de la 
privacidad no solo porque requiere menos permisos, también porque ofrece más 
información. Aprendimos que los fallos que habíamos revelado en abril fueron 
arreglados y que hay permisos que otorgamos a Apple de los que no sabemos 
mucho. 



1. Este artículo se basa en análisis realizados en mayo, junio y agosto 2020 sobre la aplicación CoronApp - 
Colombia instalada en un iPhone 7. Los ejemplos que se citan se refieren en su gran mayoría a los análisis de 
agosto, en las versiones 1.0.28 y 1.0.29 de la aplicación (en caso contrario se menciona explícitamente). Atención, 
la numeración de las versiones para iPhone y para dispositivos Android es distinta. 
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1. Metodología de análisis, las 
particularidades de Apple 


La metodología que usamos para analizar la aplicación CoronApp - Colombia en un iPhone se 
parece a la que usamos para Android. En particular el análisis dinámico que consiste en revisar 
los flujos de datos enviados y recibidos por el teléfono y la aplicación en funcionamiento normal. 
Sin embargo, el análisis desde iPhone tiene particularidades: la instalación del certificado que 
permite interceptar el tráfico HTTPS es distinta, es más difícil acceder y analizar el archivo de 
instalación de la aplicación. En cambio es fácil acceder a los logs generados por el teléfono y 
estos pueden revelar información interesante. 

1.1 Sin salir de la cárcel 

En Android se puede hacer lo que se conoce cómo un "root" del dispositivo, desbloquear el 
acceso a funcionalidades del sistema operativo a las cuales normalmente no se puede acceder. 
Para los dispositivos Apple (cómo los iPhones e iPads) existe el equivalente, llamado el jailbreak, 
literalmente "romper o salir de la cárcel". Hacer un jailbreak permite, por ejemplo, instalar 
directamente aplicaciones sin pasar por la tienda de Apple, y por lo tanto instalar aplicaciones 
que no están en la lista autorizada por Apple. Existen varios sitios que proponen herramientas 
para realizar el jailbreak de un dispositivo Apple 2 . 

Sin embargo, este proceso puede impedir actualizaciones futuras del dispositivo o perturbar su 
funcionamiento. La empresa Apple se opone al jailbreak y la garantía del dispositivo ya no está 
asegurada en caso de hacerlo. Apple lo expresa así en su sitio web: 

"Apple advierte encarecidamente en contra de la instalación de cualquier software que 
piratee ¡OS. También es importante tener en cuenta que la modificación no autorizada de 
¡OS supone una violación del contrato de licencia de software del usuario final de ¡OS, por 
lo que Apple podría negarse a reparar cualquier iPhone, iPad o iPod touch en el que se 
haya instalado software no autorizado." 3 


2 Por ejemplo éste: https://checkra.in 

3 - 1201954 . 
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Aunque hacer un jailbreak del ¡Phone para 
analizar aplicaciones es una vía posible, en 
línea con nuestra filosofía de que debemos 
poder hacer control por vías legítimas de las 
tecnologías, decidimos tomar otro camino. 
Usamos la herramienta Apple Configura- 
tor 2 4 que permite configurar el teléfono de 
manera más granular a través de lo que se 
llama "perfiles". Los perfiles permiten, por 
ejemplo, redirigir el tráfico del teléfono para 
analizarlo, mediante la configuración de un 
servidor proxy; instalarle nuevas autoridades 
de certificación. Además Apple Configurator 
permite acceder a los logs internos del dis¬ 
positivo a través de su "consola". La instala¬ 
ción de un perfil en el dispositivo necesita 
que este esté en un estado llamado "supervi¬ 
sado" 5 . En caso contrario la instalación de un 
perfil en el dispositivo (desde Apple Configu¬ 
rator o un servidor MDM) no funciona: 


SinSIM^O 6-51 p.m. 


Instalar perfil 


K Lab-Análisis 

Firmadp ppr Sin firmar 

Di . ¡ripcipn An&liSíS con ZAP 

Error de instalación 
de perfiles 

Más Este perfil súlp puede instalarse en un 
dispositivo supervisado, 


¡Phone 


Resti 


OK 



La supervisión permanente 6 de un dispositi¬ 
vo Apple necesita la creación de una cuenta 
Apple Business o School Manager. Sin duda 
es una limitación ya que un individuo sin vín¬ 
culos con una organización no puede hacerlo 
por cuenta propia. Nosotros lo pudimos ha¬ 
cer creando un perfil para la Fundación Ka- 
risma y supervisando el ¡Phone que querría¬ 
mos analizar con el Apple ID de esta cuenta: 
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?mt=12 


5 Apple ofrece la siguiente definición de un dispositivo supervisado en su sitio web: "Se trata de un dispositivo 
con un nivel de gestión más granular, lo que permite restricciones como desactivar ¡Message o Game Center. Un 
dispositivo supervisado también proporciona características y configuraciones de dispositivo adicionales, como 
filtro de contenidos web y la posibilidad de instalar perfiles de configuración y apps en segundo plano.", https:// 

support.apple.com/es-lamr/guide/profile-manager/cad386d5f24/mac Al supervisar un dispositivo, se resetea 


completamente. 


6 Aparentemente, existe una forma de supervisar el dispositivo de manera temporal y sin tener una cuenta Apple 
Business o School manager. No está documentada por Apple y no la hemos probado porque implicaba borrar el 
dispositivo, con sus archivos y su configuración, por completo. 
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Hacer la supervisión permanente del dispositivo nos permitió instalar el perfil con la 
configuración adecuada para nuestros análisis, como se detalla más adelante. Esta cuenta 
también nos dió acceso a una documentación para desarrolladores que no está disponible de 
forma abierta en Internet 7 . Para acceder a los logs internos del teléfono a través de la consola 
de Apple Configurator, no es necesario que el dispositivo sea supervisado de manera temporal 
o permanente, como tampoco lo es tener una cuenta Apple Business o School Manager. 


Sin embargo, sigue existiendo una limitación que 
tiene que ver con otra particularidad del modelo de 
Apple: lo de Apple se enchufa bien con lo de Apple. 
El programa "Apple Configurator 2" que es central 
para hacer los análisis que hicimos, sólo se distribuye 
para MAC 8 . Apple no distribuye versiones para Linux 
ni para Windows y las alternativas que hemos visto 
son insuficientes para lo que necesitábamos hacer. 
Hay que mencionar que este no era el caso de la 
versión anterior de Apple Configurator, llamado 
"iPhone Configuration utility" que también estaba 
disponible para Windows 9 . Para hacer una parte de 
la configuración del teléfono y de los análisis usamos 
un MAC Mini con el programa Apple Configurator 2. 



1.2 Instalación de la aplicación: del APK al IPA 

En Android, la instalación de una aplicación se hace mediante una archivo APK (Android 
Application PacKage). El sistema operativo Android permite hacer la instalación mediante la 
tienda de Google pero también mediante otras tiendas alternativas (APK Mirror, F-Droid, 
etc.), que permiten descargar el APK e instalarlo en el dispositivo. Incluso se puede descargar 
directamente el APK y hacer manualmente la instalación (es necesario tener una configuración 
de seguridad que admita instalar archivos desde otras fuentes, pero es posible). 


7 Por ejemplo, sin estar conectado con un Apple Id, no se puede acceder a estos documentos técnicos: 

https://developer.apple.com/bug-reporting/profiles-and-logs/?platform=ios 

8 Ver por ejemplo la respuesta a la pregunta "We run Windows. Can I Use Apple Configurator?" en el sitio de la 
compañía Simple MDM, especializada en "Mobile Device Management": 


9 Todavía se puede encontrar en Internet (aquí por ejemplo: 

el software no está actualizado desde enero 2013 y desaconsejamos su uso. 


. Sin embargo 
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Para los sistemas Apple es distinto. Para instalar una aplicación en un dispositivo, se debe pasar 
por la tienda de Apple, el App Store 10 . El proceso de instalación es transparente para el usuario 
y él no "ve" el archivo de instalación. Entonces, que sepamos, no hay manera de acceder a las 
versiones anteriores de una aplicación dada, cómo se puede hacer para Android con algunos 
sitios que indexan los APK de las aplicaciones * 11 . 

El archivo de instalación de una aplicación Apple tiene una extensión que se llama IPA ("iOS App 
Store Package"). Tiene un formato que no ha sido liberado por Apple. El Appstore lo descarga 
y lo instala directamente. Antes era posible acceder al archivo ".ipa" desde ¡Tunes pero Apple 
eliminó esta posibilidad. 

Sin embargo, hay otras formas. Una, es instalar o actualizar la aplicación, no desde el teléfono 
sino desde Apple Configurator' 2 . En este caso el archivo IPA se podrá encontrar en la siguiente 
carpeta cache: 


"~/Library/Group Containers/K36BKF7T3D.group.com.apple.configurator/Li- 
brary/Caches/Assets/Temporaryltems/MobileApps” 13 


Otra forma de acceder al archivo es usar una herramienta como OWASP ZAP 14 para capturar el 
tráfico mientras se instala la aplicación desde el AppStore. En el caso de CoronApp-Colombia, 
aparece esta solicitud hacia el dominio "iosapps.itunes.apple.com" de un archivo IPA cuyo nom¬ 
bre termina por "908847.thinned.dpkg.ipa": 


GET 

htt ps://iosapp s. ¡t u nes. appl e. com/it unes-assets/P urp Iel24/v 4/b -e/cc/d b/be ccdb 49-9fcl -0B9d -4f04-5Baaa545c5c3/p re -thi nnedl 
7717166716521908847,thinned. signe d.dpkg. ipa^accessKey = r" 
Hc4QCao%2Bsnm%2FBdzdGXeoLqLae¡aqWbb%2Fh2RpwMQSC 
E5l6jf NXI6%2B YÍkFJ TvXBky xEibgjM YXC jUGpT7HVIPRVTGt Ww iikovbL E SbzStiu V¥ 3B 7Jf Qoqcy 2Zy 7X%2FDN KE D81f E QXqUrq 9KA%3D 
%3D HTTP/1,1 


Apple-Download-Type: redownload 
Accept: */* 

User-Agent: com. apple.appstored/1.0 iOS/13.5.1 model/iPhone^ 3 hwp/t8ül0 bu¡id/17F8G (6; dt:139) AMS/1 

Accept~Language: es-es 

Connection: keep-alive 

Host: ¡osapps.itunes.apple.com 


10 Salvo si el dispositivo tiene un "jailbreak", como se mencionó anteriormente pero por defecto, la regla definida por 
Apple es que: "En el iPhone, ¡Pad y ¡Pod touch, todas las apps se obtienen de App Store (y todas las apps se "aíslan") 
para ofrecer los controles más estrictos.", https://support.apple.eom/es-es/guide/security/sec35dd877d0/1/web/1 

11 Por ejemplo, en este sitio: https://apkcombo.com/es-co/ 

12 En nuestro caso el teléfono se conecta por cable USB al computador que tiene Apple Configurator. También se pue¬ 
de hacer remotamente desde un servidor MDM (Mobile Device Management). Ver aquí: 


13 https://developer.apple.com/forums/thread/86862 

14 Ver más adelante para la instalación de la autoridad de certificación de OWASP ZAP en el dispositivo. 
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En esta solicitud del archivo IPA, se pueden observar varias cosas: 


la aplicación ya había sido instalada (“Apple-Download-Type: redownload”) ; 

la versión del archivo ".ipa" que se descarga es una versión "adelgazada" y firmada 
(".thinned.signed”) que sólo contiene la variante de la aplicación con los elementos 
necesarios para nuestro dispositivo 15 ; 

se hace una autenticación con una clave de acceso ("accessKey-'). 


En la respuesta, el servidor manda el archivo ".ipa" de la aplicación CoronApp-Colombia: 




Encabezamiento: Vista Raw 


Cuerpo:Vista Raw 



h| 

□ 


HTTP/1.1 200 OK 
Server: ATS/8.0.8 

Date: Sat, 01 Aug 2020 11:23:55 GMT 
Content-Type: application/octet-stream 
Content-Length: 7650539 

X-Responding-Server: massilia protocol_037:737002003:msl2p01if-qujn03021901.ms.if.apple.com:8082:20M16: 
c7099bcbclb4 

X-Apple-Request-UUID: d376el88-0e96-417b-a6f4-568b3aef3cfa 
X-iCLoud-Availability: [B, R, PL] 

ETag: " 15B7A4402F3221B11DEE4AADD5A5B204" 

X-Apple-MS-Content-Length: 7650539 
X-iCloud-Content-Length: 7650539 

X-Apple-Request-UUID: d376el88-0e96-417b-a6f4-568b3aef3cfa 
accept-ranges: bytes 

x-kloud-versiónid: 8a86cc90-d3db-llea-9511-b8599ff8fl9a 
Last-Modified: Sat, 01 Aug 2020 09:44:06 GMT 
Cache-Control: prívate 

Strict-Transport-Securíty: max-age=31536000; includeSubDomains; 

X-D L 8 -U p st re a m: 10.117.103.138:8082 
Access-Control-Allow-Origin: * 

Access-Control-Aliow-Methods: HEAD, GET, PUT 
Access-Control-Allow-Headers: range 
Access-Control-Max-Age: 3000 
Access-Control-Allow-Credentials: false 
Access-Control-Expose-Headers: * 

Age: 1428270 

Via: https/1.1 usqas4-vp-vst-004.ts.apple.com (ApacheTrafficServer/8.0.8), https/1.1 usqas4-vp-vfe-009.ts.apple.com ( 
ApacheTrafficServer/8.0.8), http/1.1 usmial-edge-lx-002.ts.apple.com ÍApacheTrafficServer/8.0.8), https/1.1 usmial-edge- 

ÍÍD&ClyD& 6 DI6QYI1 |ÁQQqpQQQQ|ilHgasggó ágzgggi ~0 ggPÁgG® 1 ’ae¡ggü¡Ág± 6 +gó ggtÁ-[Ü4giogg|p<t-]iagüG «¡£íp]oHgglg=IXÍ(ggOzéft4 

J D$DOn#RDI[]^D![yE[]Dá'OVB 1 / 4 l-[KTDkñDD 9 m 5 []yxo*ohw:j]yXlDÓKaí<t~D[í)í&DD% 0 \Dl.[]D 1 ó 6 ggxQY9Ágl ég g ¡@ 3 SnC 
Y& A¿]g^G!gÁ 5 ag£cYx 0 É J rk?ggllgg!HEé-slgg , Vf 6 ggé ,, g^lptÜgjñ~gáKBgyÜ<dyggA=glgM'gggÁFA 6 Q'gl{^Lj 2 $Ü©gg 11 / 4 ÍL'ÓggqgKqñ 
>í®HA/xOáj¡5,Áí- 1 /íimÉ ?ségqg§g?l 
Vgój] 8 é:Ó 

M á U g+ gÓ»gg£F2! gU A g<g 0 ?RgiÜggf cgVCá/kGkg: / WOfg4~gy9D j3g0ágtjggDaeúygg2üygQÜWg®P'<ggé}gggjoTÜ*iáé?»PÑÑóg _ g 
cAgí V&Aqqi g£ gá D ó o Ó rohEBgd@%gg ggg gg_g:QpA,_gÑqgR;gg Üggdgg ATgggtfguggü'□□SlfCDD ggií3gRgf&gg&FKiKgAg-PyfEA 
Ra 1 ggú ggKflVH Qh gg ® Ó» b Ó £ í, VÁ e a g± j]Ó C ge U g 2 gg2 / -r' 2 g/á g# gó=Kü # n 20 gÉ Ag-i; qí □□qÁs á [ftÉ $Aú" @ gó gggg * 5 CeSo+¡háó g%¥gü g 
q-iYÁiO^Ác/EbÑgOgggzBy>gÁ j gN&3gNg£ü;óh¡g.framework/lnfo.plistUXe9%_7g$ ÉEbvxná O á6bplist00ftggg gggggg 

#$"%&' 0_ggBuildMachineOSggág_ggCFBundleDevelopmentRegion_ggCgéExecutable8gñg+ldéifier_gg0gí 

nfoDict@garyVers 

h[[\ÁBNamngéPackageTypgngáShort :éstring ggogggnatur81óÁ3uppÍedPlatforms_gg(l léZDTCompilg®É+gDTógghg A 6 g<:hgg 68 
@E.SDKñPQYg)éWDTXcode\ glSégMinimumOS =A AA Ulá 

iceFamilyU19G73RenYAlamofigíigorg. co4;g'5lágt4Rít:sgg3#$" 0 Óx©Ys-g/ElA»U' Ñ x-ÁCgg' 0Yh O 3 E_©llgOggÜ 1 ggAxgg4±,. 4 ^Qi ±1 x 

ág°RgÉÍQ-:a 3 VíiaeqÍ 

Ez ' *jA5Aü ggqpgp ggs se708S 8.04 *+ ggg g 5 Kg|g±y 4 Óñggg"g 4 g?gQg'gtggggggggg±gÁg/EgÉgógígñgogü gá g 3 9 8 G T Y 

d g iggl góg,óá kgbvx$PKgggg}ggQEgPayload/CoronApp-Colombia.app/Frameworks/BluetraceCoronapp.framework/UX 
e9%_ A 9% ÉEPKggggH |yPTgPayload/CoronApp-Colombia.app/Frameworks/BluetraceCoronapp.framework/ CodeSignature/UX 
e 9% 7ri4 É É P Knnnnc! nno± rnu nAÓ 7Ánnl i w dTO : é: Vá x n< né n2é E a É nvnóiú é » 3z ó nc 8 rú w nnná nf é ¡ nó !Á 2 a nrnG nsÉ 6n 3 nt n+ i é i 5K " n: 1: ó £ n 


15 "A thinned .ipa ¡s a compressed app bundle that contains only the resources needed to run the app on a specific 
device. Bitcode has been recompiled, and additional resources needed by the App Store", 

"Thinned IPA files for each variant of your app. These files contain assets and binaries for only one variant.", 
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La parte superior muestra la cabecera de las respuestas que incluye metadatos cómo el tamaño 
de este archivo comprimido (7.650.539 oct). En la parte de abajo se puede observar una parte 
del contenido de este archivo, no toda es legible pero aparece por ejemplo la inclusión del 
framework que usa el protocolo de rastreo de contactos cercanos "Bluetrace": 


"Payload/CoronApp-Colombia.app/Framework/BluetraceCoronapp. 

framework" 


1.3 Permisos 

Los permisos que aparecen al instalar y usar la aplicación son los siguientes: 


r 

•# — 

N 

Sin SIM •=" 9=24 p. m. 

^ Atrás CoronApp-Colombia 

o 

PERMITIR QUE CORONAPP-COLOMBIA ACCEDA A 

(Q Ubicación 

Al usar > 

O Bluetooth 

Siri y Buscar 

KQ Notificaciones 

«■J Tiras, Sonidos, Globos 

O 


O 



. > 

Sin SIM 

9:25 p. m. BD 

< Atrás 

Ubicación 

PERMITIR ACCESO 

Nunca 

A UBICACIÓN 

Preguntar la próxima vez 

Al usar la app 

Siempre 

s/ 

Descripción: La Aplicación solicita su ubicación para 



~ 

♦ 

■m — 

N 

Sin SIM •=• 

< Atrás 

9:06 p. m. 

Notificaciones 

■> 

Permitir notificaciones 

C 


Temporal : 


Sonidos 

o 

Globos 

o 

OPCIONES 

Mostrar previsualizaciones Siempre (pre... > 

Agrupación de notificaciones 

Automática > 

O 



Incluyendo el de "Siri y Buscar" -que deja algunas preguntas que se discuten más adelante- esta 
versión de Coronapp_Colombia para ¡OS requiere cuatro permisos, muchos menos de los 11 de 
la versión actual para Android, que son los siguientes: 

accesos a ubicación aproximada (ACCESS_COARSE_LOCATION); 

acceso a ubicación fina (ACCESS_FINE_LOCATION); 

acceso al estado y las conecciones de red (ACCESS_NETWORK_STATE) ; 

vincular con dispositivos bluetooth (BLUETOOTH); 

acceso a los ajustes de bluetooth (BLUETOOTH_ADMIN); 

hacer llamadas telefónicas (CALL_PHONE) ; 

ejecutar un servicio de primer piano (FOREGROUND_SERVICE) ; 

tener acceso completo a la red Internet (INTERNET) ; 

impedir el teléfono entre en modo de suspensión (WAKE_LOCK) ; 

verificar de donde se hizo la instalación, necesario para su integración con Google Play (BIND_ 
GET_IN5TALL_REFERRER_5ERVICE) ; 
recibir mensajes de notificación (RECEIVE). 
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La primera conclusión es que la aplicación CoronApp-Colombia tiene menos permisos y de 
cierta forma está más controlada en un entorno Apple que en uno Android. Quizás se deba 
a que la tienda de Apple es más exigente en cuanto a los permisos y la privacidad. Como lo 
veremos más adelante algo similar pasa con la información entregada a la persona usuaria, 
que es más completa en la versión para iPhone. 


En el primer uso de la aplicación, se 
piden las autorizaciones al usuario 
de la siguiente manera, para el 
accesoa la ubicaciónyal Bluetooth 16 : 




CoronApp 

Ayúdanos 
a recolectar 


"CoronApp-Colombia" quiere 
acceder a Bluetooth 

CoronApp intercambia señales de 
Bluetooth con teléfonos cercanos que 
ejecutan la misma aplicación. Estas 
señales contienen una identificación 
anónima, que está encriptada y cambia 
continuamente para garantizar su 
privacidad. 



¿Permitir a "CoronApp- 
Colombia" utilizar tu 
ubicación? 

La Aplicación solicita su ubicación para 
registrar el lugar en donde registra el 
estado actual de salud. 


Permitir al usarla app 
Oí IS 

Permitir una vez 

Al< la 

r No permitir 


Empezar 


De hecho, el sistema operativo ¡OS impone que para cada permiso que se otorga a una aplicación, 
se le pida la autorización a la persona usuaria. Y en ciertos casos - como aquí para el permiso 
de acceso a la ubicación - hay más granularidad y se ofrece más información que en la versión 
para Android. 

En cuanto a la ubicación hay otra diferencia importante. Aunque no se distingue en el momento 
de pedir la autorización al usuario, en Android, hay técnicamente dos tipos de permisos de 
localización que puede usar una aplicación: la localización gruesa (ACCESS_COARSE_LOCATION) 
y la localización fina (ACCESS_FINE_LOCATION). Google las describe así en su sitio web 17 : 

android.permission.ACCESS_COARSE_LOCATION: Permite que la API utilice Wi-Fi o 
datos móviles (o ambos) para determinar la ubicación del dispositivo. La API muestra la 
ubicación con una exactitud que equivale aproximadamente a una manzana. 
android.permission.ACCESS_FINE_LOCATION:Perrr\\te que la API determine la ubicación 
más precisa posible mediante los proveedores de ubicación disponibles, incluido el 
sistema de posicionamiento global (GPS), así como Wi-Fi y datos móviles. 


16 También se pidió una autorización para enviar notificaciones con el mensaje siguiente: "CoronApp-Colombia 
quiere enviarte notificaciones - Las notificaciones pueden incluir alertas, sonidos, y globos, los cuales se pueden 
definir en Configuración - No Permitir - Permitir" 

17 Ver aquí: https://developers.google.com/maps/documentation/android-sdk/location?hl=es-419 
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Para Apple, se usa el framework "Core Location" que puede usar indistintamente el GPS, el WIFI, 
los datos móviles, el Bluetooth e incluso otras herramientas del dispositivo (magnetómetro, 
barómetro) para determinar la ubicación del dispositivo. Esta parte técnica es transparente de 
cierta forma. En cambio la autorización se enfoca en la posibilidad de una ubicación permanente, 
al usar la aplicación o puntual 18 . 


Sin embargo, una autorización que está en 
iPhone y no en Android es la que tiene que ver 
con "Siri y Buscar": 


: \ 

♦ 


Sin SIM 9:05 p. m. 

■3 

^ Atrás Siri y Buscar 


EN CORONAPP-COLOMBIA 


Aprender del uso de esta app 

O 

Permite a Siri aprender cómo usas CoronApp-Colombia 
para realizar sugerencias en las apps. 

EN LA BÚSQUEDA 


Mostrar en Buscar 

«3 

Sugerir atajos 

O 

Permitir que Buscar y Consultar muestren información o 
sugerencias de atajos para CoronApp-Colombia, las 
cuales se basan en tu uso de la app. 

EN LA PANTALLA BLOQUEADA 


Sugerencias de Siri 

O 

Permitir sugerencias de Atajos en la pantalla bloqueada 
según como uses CoronApp-Colombia. 


Siri es la inteligencia artificial con funciones de asistente personal con reconocimiento de voz, 
para los sistemas operativos de Apple iOS. Esta serie de autorizaciones no se pedían para el uso 
inicial de la aplicación, en cambio las otras sí. Tiene que ver con el hecho de proponer al usuario 
sugerencias, información y atajos relacionados con el uso que se hace de CoronApp-Colombia. 
Detrás de esto hay también una pregunta importante que tiene que ver con la privacidad: 


"¿Cuates son tos datos relacionados con nuestro uso de CoronApp-Colombia que 
Apple colecta cuando esta serie de permisos están activados?" 


18 i iientation/corelocation/requesting authorization for location Services 

19 https://es.wikipedia.org/wiki/Siri 
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Según la política de privacidad de Apple, Siri procesa casi toda su información localmente sin 
transmitirla a los servidores de Apple. La información que se envía no está conectada al Apple 
ID sino a un número aleatorio. En los análisis de flujo no detectamos información enviada a los 
servidores de Apple más allá del uso de la aplicación CoronApp-Colombia, lo que se analiza en 
la parte 2.4 de este informe. 

En todos los casos, para aplicaciones que manejan datos personales sensibles incluyendo 
información de salud cómo CoronApp-Colombia, nos parece que esta serie de autorizaciones no 
debería darse por omisión. 

1.4 Una información más detallada en iPhone 

Este punto ya apareció en la parte previa. Cuando se solicitan los permisos, hay más detalles 
en la información entregada desde iPhone. Por ejemplo, volvamos sólo a mirar la solicitud de 
acceso a la ubicación, comparando una versión de CoronApp-Colombia del 19 de agosto en 
Android y la de iPhone: 








o o □ 


IPhone 




Android 


20 https://www.apple.com/privacy/ 
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Es sorprendente constatar que -además de la mejor granularidad de la autorización- hay un nivel 
de información mejor para iPhone: se precisa la finalidad del acceso a la ubicación ("registrar el 
lugar en donde se registra el estado actual de salud" 21 ). 

Para el Bluetooth, igual la información directamente accesible al usuario es más detallada. 

Por otra parte el "Historial de versiones" de la aplicación es más detallado en su versión de 
AppStore que en la del Play Store. Por ejemplo los cambios hechos en las versiones recientes 
(posteriores a abril) no aparecen en Android y para iPhone sí, como se puede observar aquí: 




O ¿T ,ill »■ ■ 

CcxonApp - Colombia 

DtrtiHrí 


$07 da Abf. I 2Ü2Q 

11 Se ajusta al flujo de í*ntDmB& ampliando la 
cantidad de preguntas y el diálogo del resudado del 
diagnóstico 

1 flete ¿tal 2020 

■ Se mejora el autodiagnóstico, se agregan mas 
recemwdKicnes en la saccíOn Reportar tos 
Síntomas, gp agregan <nwv be lineas de atención, se 
mejora el senvkio para la visualizaron de c>frat. 

14 MAM 2020 

' Se actualizo el formulario de registro familiar 
para identificar solo a los pananLes que viven en la 
misma ubicación. 

Loa demás actualizaciones presentan las 
respectivas novedades en cada publicación. 

Novedades * 

En la sección Estatus de movilidad se actualiza á 
decrete 1076 de 2020. 



[> 


Android / Play Store 


Sin SIM 10:28 p. m. 

fE' 

Sin SIM 6:15 p. m. 4 

^ Atrás 


^ Atrás 

Historial 


1.0.20 

de versiones 


Se agrega la funcionalidad Historia de cercanías, 
que permite utilizar el Bluetooth para compartir 
con el INS la cercanía a otras personas que 

1.0.28 

Hace 4 sem 

utilizan CoronApp, en los últimos 21 días, y saber 

En la sección Estatus de movilidad se actualiza 

si un caso confirmado con COVID-19 tuvo 

al decreto 1076 de 2020. 


contacto con otras e identificar potenciales 
cadenas de contagio. Se encuentra desactivada 



por defecto y solo se activará para enviar 

1.0.27 

Hace 1 mes 

cuando el usuario lo desee. Se agrega 

En la sección Estatus de movilidad se actualiza 

funcionalidad para permitier compartir el nivel 

al decreto 990 de 2020. 


de riego del usuario con otras entidades de 
apoyo (ARL, EPS o Empleador), según 



autorización y selección voluntaria del usuario. 

1.0.26 

Hace 1 mes 


En las sección Estatus de movilidad se actualiza 

1.0.19 

al decreto 878 de 2020. 




En las sección Estatus de movilidad se actualiza 



al decreto 636 de 2020 y se mejora la 

1.0.25 

Hace 2 meses 

sincronización de datos de la aplicación. 

Ajuste política de tratamiento de datos 




1.0.18 



1.0.24 

Hace 2 meses 

En las sección Estatus de movilidad se actualiza 

En las sección Estatus de movilidad se actualiza 

al decreto 636 de 2020 y se mejora la 

al decreto 749 de 2020. 


sincronización de datos de la aplicación. 

■ 4 $ 


a o. 


Buscar 



Apple / App Store 


Aquí se ve por ejemplo que los cambios en las últimas versiones y en particular la re-introducción 
del rastreo de contactos cercanos vía Bluetooth no aparece en el historial de la aplicación en el 
Play Store mientras que sí se detalla en el App Store. 


21 Una verificación en la captura de flujo (ver parte 2) muestra que efectivamente es el único momento en el 
que se transmite la ubicación del dispositivo. 
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1.5 Uso de Apple Configurator y acceso a los logs internos 

Apple Configurator, en su funcionalidad de "consola", permite acceder a los logs generados por 
el dispositivo y sus aplicaciones y guardarlos en un archivo: 


• • • 




¡Phone de Fundación 


< ü]'' 

¡ B 


( <& y É l 

O 1 I 

? Q 

Atrás Visualización 

Añadir 

Proyectos 

Preparar Actualizar 

Copia de seguridad Etiqueta 

Ayuda 


(T) Información 
A Apps 
Perfiles 


Aug 15 12:00:31 iPhone-de-Fundacion apsd[109] <Notice>: APSCourier <private> adjusting connection. Connected on 1 
interfaces. Current link quality: <private> 

Aug 15 12:00:31 iPhone-de-Fundacion apsd[109] <Notice>: <private> canUseProxy: NO isNearby: NO 

Aug 15 12:00:31 iPhone-de-Fundacion apsd[109] <Notice>: <private> calling _connectStream with interface preference None 


:31 iPhone-de-Fundacion apsd[109] <Notice>: <private> _connectStream has None preference and dual channel 
Aug 15 12:00:31 iPhone-de-Fundacion apsd[109] <Notice>: <private> _connectStream - kicking WWAN for dual channel 


Aug 15 12:1 
is enabled 


Aug 15 12:00:31 iPhone-de-Fundacion apsd[109] <Notice>: <private> attempting to _connectStream. currently onlnterface 
NonCellular consecutiveFailures 0 preference WWAN shouldUseDualChannel YES. Connected on 1 interfaces. 

Aug 15 12:00:31 iPhone-de-Fundacion apsd[109] <Notice>: _getClient!dentity: already had identity: <private> 


Aug 15 12:00:31 iPhone-de-Fundacion apsd[109] <Notice>: <private> _connectStream - dual channel with 1 connected 
interfaces. isWWANUsable NO, isWiFiUsable YES. Not attempting to connect. 

Aug 15 12:00:32 iPhone-de-Fundacion nsurlsessiond(libusrtcp.dylib)[128] <Notice>: tcp_timers [C164.1:2] retransmit SYN 
seq=4004698436 3 

Aug 15 12:00:32 iPhone-de-Fundacion nsurlsessiond(libusrtcp.dylib)[128] <Wotice>: tcp_output [C164.1:2] flags=[S] 
seq=4004698436, ack=0, win=65535 state=SYN_SENT rcv_nxt=0, snd_una=4004698436 

Aug 15 12:00:32 iPhone-de-Fundacion nsurlsessiond(libusrtcp.dylib)[128] <Notice>: tcp_timers [C165.1:2] retransmit SYN 
seq=4024917215 3 

Aun n-0ft-n i Dhnna—Ha—Fundar inn nnirlracf innHÍ 1 ihnrrtrn HwlihWMfll r-Mn+ira'»- trn nntnnt TrifiS Mi flanr-ÍCl 


Este acceso a los logs internos necesita un acceso físico al dispositivo (conexión USB) y no se 
puede hacer remotamente con un servidor de gestión de dispositivos móviles (MDM). Contienen 
mucha información técnica - que en general es autodescriptiva 22 - de la cual toca extraer la que 
corresponde a la aplicación analizada. Hay logs generados por el sistema operativo, por otras 
aplicaciones y los que nos interesan, los generados por la aplicación CoronApp - Colombia. 

En la versión de mayo que monitoreamos, varios tipos de logs estaban activados, en particular 
algunos que tienen que ver con el uso SSL/TLS (usado en las conexiones HTTPS) y con el 
diagnóstico de Bluetooth (bluetoothd), cómo estos por ejemplo: 


May 26 21:36:43 iPhone-de-Fundacion CoronApp-Colombia(libboringssl.dylib)[1047] 
<Notice>: boringssl_context_info_handler(1983) [C17.1:2][0x10e024880] Client handshake 
State: TLS Client read_server_certificate 

May 26 21:36:57 iPhone-de-Fundacion bluetoothd[77] <Notice>: Application "co.gov.ins. 
coronapp" is still at pid 1047, with State "foreground-running" 

May 26 21:38:08 iPhone-de-Fundacion bluetoothd[77] <Notice>: Received 'stop sean' 
request from session "co.gov.ins.coronapp-central-1047-37" 


22 No existe documentación pública de Apple sobre los logs de la consola. 
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Estos corresponden también a dos asuntos claves de la aplicación CoronApp-Colombia: la 
implementación del escaneo vía Bluetooth de dispositivos cercanos con fines de rastreo de 
contactos y la implementación del protocolo seguro y cifrado HTTPS (HTTP + TLS). Nuestro 
informe anterior (análisis realizado en la versión de Android 23 ) había revelado que en las 
primeras versiones de la aplicación había una vulnerabilidad debido al uso del protocolo 
inseguro HTTP para enviar los datos personales y de salud. Este protocolo no permite asegurar 
la confidencialidad de la información transmitida. 

También muestra que los desarrolladores de la aplicación estaban todavía haciendo pruebas 
y querían generar varios tipos de logs para probar la aplicación. En la última versión que 
analizamos a final de agosto los únicos logs que produce la aplicación son los que tienen que 
ver con el servicio de diagnóstico WIFI (wifid), cómo estos: 

Aug 19 16:04:47 iPhone-de-Fundacion wifid(WiFiPolicy)[45] <Notice>: 

[WiFiTrafficFlowMonitor]: Background classifications: [(0xc):TC_BK,TC_RD] 

Aug 19 16:04:49 iPhone-de-Fundacion wifid(WiFiPolicy)[45] <Notice>: 

[WiFiTrafficFlowMonitor]: co.gov. ins.coronapp 


23 Ya que CoronApp_Colomb¡a salió primero sólo para Android, no sabemos si la primera versión para Apple 
tenía este defecto. Además los dispositivos Apple recientes (¡OS 9 y MacOS 10.11 or superior) tiene una 
característica llamada App Transport Security (ATS) que bloquea por defecto el tráfico no cifrado de las apps 
e impone crear una excepción para que la App pueda comunicarse usando el protocolo HTTP 
(ver: https://developer.apple.com/documentation/security/preventing _ insecure _ network _ connections ). 
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2. Análisis de tráfico en CoronApp - 
Colombia en iPhone 

En esta parte analizamos los flujos de datos generados y recibidos por la aplicación CoronApp- 
Colombia instalada en nuestro iPhone. 

Seguimos el proceso normal de registro: hicimos el diligenciamiento de datos personales, 
reportamos un estado de salud con síntomas, y generamos el "pasaporte de salud". Capturamos 
los flujos de datos, descifrando el protocolo HTTPS, con la herramienta de código abierto OWASP 
ZAP 24 , habiendo instalado la autoridad de certificación correspondiente en el teléfono. 

Notas previas: 

1. Cómo hemos explicado en otros informes los análisis de CoronApp_Colombia, 
igual que en otros análisis, estuvieron precedidos de una notificación a las entidades 
encargadas (Agencia Nacional Digital en este caso). 

2. En la documentación técnica que Apple disponible para los desarrolladores y 
profesionales (disponibles únicamente cuando se tiene una cuenta Apple), hay un 
documento llamado "Charles Proxy Logs (macOS and iOS)" en el que Apple describe 
cómo hacer una captura de tráfico HTTP y SSL/HTTPS de un dispositivo Apple, con la 
herramienta Charles Proxy, que es bastante similar a la que usamos en su funcionalidad 
de proxy HTTP y HTTPS. De acuerdo con los principios que rigen nuestras investigaciones, 
preferimos la herramienta libre OWASP ZAP 25 . 

2.1 Instalación de una autoridad de certificación para hacer 
análisis de tráfico 

Una parte central de nuestros análisis es el análisis dinámico del funcionamiento de la aplicación 
en funcionamiento real. Usamos para ello la herramienta OWASP ZAP instalada en nuestro 
computador configurado cómo intermediario (proxy 26 ). Es importante mencionar que usamos 
esta herramienta únicamente de forma no intrusiva y pasiva (modo "seguro") y únicamente para 
capturar y analizar los flujos de datos enviados y recibidos por el teléfono y la aplicación. 


24 https://www.zaproxy.org/. también existen otras herramientas del mismo tipo, libre y de código abierto cómo 
MITMx Proxy ( https://mitmproxy.org/) . 

25 https://www.charlesproxy.com/ Una diferencia importante para nosotros entre Charles Proxy y OWASP ZAP es 
que la primera es una herramienta propietaria (con 30 días de ensayo gratuito, después hay que pagar) mientras 
OWASP ZAP tiene una licencia libre (Apache v2.0). OWASP ZAP además tiene algunas funcionalidades de 
pentesting ofensivo (que no usamos en nuestros análisis). 

26 La creación de un proxy HTTP(S) está integrada en OWASP ZAP y se puede configurar desde el mismo programa. 
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Esta captura de flujo se hizo desde un portátil con sistema operativo GNU/Linux Ubuntu y el 
programa OWASP ZAP (actuando cómo proxy) y en paralelo con la captura de los logs internos 
vía Apple Configurator 2 instalado en un Mini MAC. 

Por lo tanto, el iPhone tenía una doble conexión: 


•una conexión WIFI al portátil con OWASP ZAP, actuando cómo un servidor proxy y 
capturando los flujos HTTP y HTTPS ; 

• una conexión USB al Mini MAC con Apple Configurator 2, capturando los logs internos del 
teléfono. 


La figura siguiente ilustra esto: 


¡Phone con 
CoronApp 




Certificados firmados 
con ZAP root CA 


Análisis de logs 


Mini Mac 
con Apple 
Configurator 2 


Análisis 
de gráfico 


y 


9 


V 


Certificado original 
enviado por el servidor 



Laptop K+LAB 

con OWASP ZAP Servidor de la App (web) 

(proxy HTTP(s)) ap¡cov¡d2.and.gov.co 


OWASP ZAP permite analizar los flujos HTTP pero también HTTPS (HTTP + SSL/TLS). Para lograr 
esto, tenemos obviamente que tener el control del dispositivo que analizamos y añadirle una 
autoridad de certificación raíz ("root CA") de la aplicación 27 . 


27 Esta autoridad de certificación se añadirá a las que son reconocidas por el teléfono. La aplicación OWASP ZAP 
generará dinámicamente certificados firmados por esta autoridad para "hacer creer" al teléfono que es el servidor 
web legítimo. 
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La configuración del iPhone -para que se conecte a Internet a través del servidor intermediario 
(proxy) creado por OWASP ZAP- y la instalación de la autoridad de certificación (root CA) se 
pueden hacer vía la creación de un perfil desde Apple Configurator y su instalación en el teléfono. 
Para que este proceso funcione, el iPhone tiene que estar "supervisado" cómo ya se mencionó. 
En la configuración del perfil hay dos cosas importantes: la configuración del proxy HTTP y la del 
certificado de OWASP ZAP 28 . 

Es nuestro caso, llamamos el perfil "iPhone-KLab-analisis" e hicimos la configuración del perfil 
de esta manera: 


i 


i Phon e-K La b- a na I i si s 



General 

Obligatorio 


Proxy HTTP global 



Restricciones 



Dominios 


Proxy HTTP global 

1 carga configurada 


±0 Proxy DNS 



Filtro de contenido 


fZZq Certificados 
I ^1 1 carga configurada 


Tipo de proxy 



Servidor proxy y puerto 

Nombre de host o dirección IP y puerto del servidor proxy 

192.168.0.16 i 8080 

Nombre de usuario 

Nombre de usuario usado para conectarse al proxy 


Contraseña 

Contraseña utilizada para la autenticación en el proxy 


Q Permitir eludir un servidor proxy para acceder a redes 
cautivas 


(la dirección IP que se debe poner es la del computador que tiene instalado OWASP ZAP, en la 
red local) 



General 

Obligatorio 


.-. * 

Certificado 


i Phon e-K La b- a na I ¡ si s 


Restricciones 



Dominios 


Proxy HTTP global 

ijlgP 1 carga configurada 

Proxy DNS 



Filtro de contenido 


Certificados 

1 carga configurada 


Transparencia de certificados 


Nombre del certificado 

Nombre o descripción del certificado 

OWASP Zed Attack Proxy Root CA 


Datos del certificado o identidad 


Archivos PKCS1 (.car, etc.} o PKCS12 (.p12) que se incluirán en 
el dispositivo 


OWASP Zed Attack Proxy Root CA 

Entidad de certificación, raíz 
Vencimiento: miércoles, 31 de marzo de 
2021, 3:11:47 p. m. hora estándar de 
Colombia 

O Este certificado raíz no es fiable 

► Detalles 


f- * 



_ 


28 Para esto, el certificado se debe exportar desde ZAP e importar en Apple Configurator cuando se crea el perfil. 
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Aquí (arriba) aparece el certificado que exportamos desde ZAP e integramos al perfil con Apple 
Configurator. 

Una vez configurado el perfil, se puede cargar e instalar en el ¡Phone si este está supervisado. 
Una vez instalado, el perfil debe aparecer en el teléfono tanto internamente (Configuración / 
General / Perfil) cómo desde Apple Configurator: 

# # # ¡Phone de Fundación 

< n mi - j é © 

Atrás Visualizadon Añadir Proyectos Preparar Actualizar Copia de seguridad Etiqueta 

(T) Información 
A Apps 

^ Perfiles 
M Consola 




CONFIG 


¡Phone KLab-Analisis 


USB Acce...ed allowed 


Ahora, ya se puede capturar el tráfico HTTP y HTTPS del teléfono, descifrando este último. 

2.2 Registro y reporte de salud 

Lanzamos la aplicación CoronApp-Colombia y empezamos a utilizar las funciones que implican 
el reporte de datos personales. La primera función es el registro en la aplicación. 

Aquí se puede observar el formulario de registro tal como se completó desde la aplicación y el 
paquete HTTP(S) correspondiente enviado, capturado y descifrado con OWASP ZAP. 


Sin SIM 

4:16 p. m. 

d*!' 


Registro 



Nombres 

Fundación 


Apellidos 

Karisma 


Tipo de documento 
Cédula de Ciudadanía 


Número de documento 
123456978 


POST https://apicovid2.and.gov.co/api/vl.0/user/first-register HTTP/1.1 
Conten!-Type: application/json 
Connection: keep-alive 
Accept: application/json 

User-Agent: CoronApp-Colombia/1.28.23 [co.gov.ins.coronapp; build:127; ¡OS 13.6. 
1) Alamofire/4.9.1 

Accept-Language: es-CO;q=1.0, fr-CO;q=0.9 
Content-Length: 146 
Host: apkovid2.and.gov.co 


country code":" + 57", "firstname":" Fundaci ón", "doc ument number":" 123456978", 
phone number":" 3505943410", "lastname":"Karisma", "document type":" CC"}| 
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Se puede observar que los datos de registro (nombres, apellidos, documento y celular) se envían 
mediante el protocolo seguro HTTPS y el método POST. Es una mejora respecto a las versiones 
iniciales de la aplicación (las pruebas las hicimos en la versión para Android), ya que en nuestros 
primeros análisis, se podía observar el uso del protocolo inseguro HTTP. 

En la siguiente funcionalidad se verifica el teléfono del usuario con el envío de un código único 
por SMS. Cuando se envía este código (por HTTPS), el servidor responde con el envió de los datos 
de registro y un token, que de ahora en adelante autenticará al usuario: 


HTTP/1.1 200 OK 

Date: Wed, 19Aug 2020 21:18:08 GMT 
Content-Type: application/json; charset=utf-8 
Connection: keep-alive 
Server: Kestrel 

api-supported-versions: 1.0, 2.0 


user":{" id ":"5f3d96d4400dd0000198aad8", "firstname":" Fundación"," lastname ":"Karisma", " week of 2020-08-20T21:17:08.553Z", "active": 
"YY'lastLogin":" 2020-08-19T21:18: 07.4328588Z","categories":D,"hashtags":D,"household":D, "document number":" 123456978", 
document type":"CC", "phone number":" 3505943410", " countrycode":’ +57"," createdAt":" 2020-08-19T21:17:08. 553Z“,"updatedAt": 

2020-08-19T21:17:08.553Z" >, "bearer token : 

" eyJraWQiOiJNa2FMUHVsVWVFT2lqdGRVYlg0VmMybUclK2M2R3k3UEtUSngzaU91bWU0PSIslmFsZyl6IIJTMjU2ln0.eyJzdWI¡O¡l2MTExNDE0YS04Y' 
Q5LTQlMzUtYjAlNSljMTdhOGIzYjk3MGUiLCJhdWQiOil2ZWhxNjRwMmJtZjlxM2JmaWxvZWZjbjQzZylslmV2ZW50X2lkljoiNmQyYTFiMTctMzFiZiOO; 
GJhLWE4OTktMWFiNWM5NjYxMmM3l¡widG9rZW5fdXNlljoiaWQiLCJjdXN0b206Y2VsdWxhcil6ljMlMDU5NDM0MTAiLCJhdXRoX3RpbWUiOjElOTc4t 
zE4ODcslmlzcyl6lmh0dHBzOlwvXC9jb2duaXRvLWlkcC51cyllYXN0LTEuYWlhem9uYXdzLmNvbVwvdXMtZWFzdC0xX3cyOHEyOENhMCIslm5pY2ti 
YWllljoiNWYzZDk2ZDQOMDBkZDAwMDAxOThhYWQ4liwiY29nbmlObzplc2VybmFtZSI6ljVmM2Q5NmQONDAwZGQwMDAwMTk4YWFkOCIslmV4cC 
6MTU5Nzg3NTQ4NywiaWF0ljoxNTk3ODcxODg4fQ.HSNJhuL2B-tSbXYX5DSobDyY3S3dQEKna4-wwoilps-iLLElgMF_ilb-FGuZGJgBG3-sPwTbkg2V 
dmD7dWTm9zBC-ELxD7PLWIddMxkStQF4Gx3zVeB6qitce04qCNX¡_TJUvFfZfn8en8jf39celOzwlPaNAQa7n20xW7NPtn5Q9Lv2sRuXn-4fHOuoRyhz: 
bHgHSKtBGOaFS5uPDVbW2ttXuvzL6fjlWNo7JaRlzSll8sgxgt36k4QHdXzGsYqM6sCOsgaQpDFPflZOUatGcJsCcTvNRZ3129CzsjXWkToelSt8oiLlx: 
zlPXqVqt4clPN-_ZBuovR9zedfkGg"," refresh token": 

" eyJjdHkiOiJKVlQiLCJIbmMiOiJBMjU2R0NNIiwiYWxnljoiUlNBLU9BRVAifQ.PaAippSXOXTcL7d3MlaXTXZfEXxLcH-JbO5BziyKGTlNAX832aDHhqxziSql 
c_G_7YCvmD07HHxXJpxYlDdxCjkUgEMmHBpgz02Flx_rTlsXky¡kT6M6_lbKY3_3GwcQMM-fHVqMcTmY70um6HmETiXUPAikkWk9BoMonhf2lv89H9h 
94jumEoS8A7JGKAJ6OYnPWj4tr-pSsD9OwBmEznDrwjKclJyV526axKZU088hh2F4GzjkDF4CFYbHpyle2cm9CgntRgFmbSXPCw6-CASn8KeyXK4Nw8< 
kB7aGXR_3f59op6DePpVNM3ehUq_y30bJXgTefToJY5sMxJpg.3-41oqP2RYhOELZ9.nFPzorxhU9bWniGllChs5a8c0C5ufbP8YthlP-YZ5b-eGaW-Z83o 
pdc6M6BlJKwnodEgmpmwr4R7HozwquUWHw3_r_0mCxM2OsC16zCDEH6mpla8DdYXnL3qpE_PhfJ00LBSgkvVDBz28alQzQmX_Sk5cBJn4NpO7dmr 
KYB U Ejjt w k w Ft_Au Z OL j L u B 6L h B n K_o OxOC rH 5VC u w W cVN h M O z P i M 7s KHx W j L B Og IfJ G q wAnXo 6D 8As QTmTD 1 km 7n 5xE 78L h cJJ cf dy W d Q02Q9F 5VP^ 
VoDTlgMkrN2FnCfEl2HuualAWvsR5kbjcS8FugV24xZ2rMxbYRoKPnnejvpDHMTdjK77rAqtfAW4hFXjmFXuya9tMlPrbnGGlphVGz6h29dJbw3y0wvs_ 
NV71xVYeBcVdiRkijVaDxrVBiKvisQA5qKw5_8JEkoEyxzkEjNCPIoMaeE7YF92buEBTQ9ZAGiYzNfr74r5dl4McXJN44tEzfUFoqlsZRjhl2swF028-ds7M7r 
MmT87VZq3qmc92uHg96SVG_e6yo-D5gOom5yEfXlUWNOH-6nAyGFPErLt4fW22JxSSflGVOUkkxjWpRfxezznhilGBWhOw-g_iBlQg9piNbCOPQuG6H 
crlgO8zmeuTYLP7slyhhEyJCAG6E-Le537UGWZebMNb7_gJLvlsUPoNaeex9FKwmg-OJqMSEy0HASjulv5lFFtiADC-kUnZUwNUESpB0h7mTuY4vn0v 
aOTYvlrJFlyMspDaJNDmvr30uYCH7yLW5MD3mQzRrFhBCyEYsLeOPsNJZpllYI9opZ2FE36uskMoaJIPL-PboeNtekGIDNygjdsQ6ATrGYWWx_ki85ul7 
V2pfNJ2s2uclwsg7kU3yP7EOsJ35gnDmqDfXzi0mp3aXT0cR7FDIqRWZ8TjKwTLaBMBTNDsLdHtjlpm7RlC68o4K0vSga2CPF3mBjxaoe450E2UtRGlt 
qhJ5Wm3rv81-R4eOoyQ2VtCDSpPflZgJ8V5nDnSJBPhmbEwFvl68nsNqnevk6rXZU2x8IFrx0jXlTVO96oM-pwPNlsMsVOWVml_V0KL4OzMaTPCgWc 
m-N C n d g hf n RE H h o Ybt k N 9M 2jXZ Dxl Yj 6k B Z UXUXP u 6QH s o448b 59G P ut Ey y VID b gTxs H a O G j d 2F cL b m 4F g 9qy TQs_VE h A59C 9x1 V2xk s 4_E O w 74i N QN 
MzdXS6V48Uv63jdAONZYQngxKvP_UVwlVZlUljerfyseQCzepckLU04teoO-lMKULvmYGjul5p7kWcD88p2adyrrc3DPU7cOTmWX-w.nRLGK7cz-nvlHl 
OLPOLRkg","success":true,"error":false,"message":"Pin verificado", Tesponse code": "VERIFICATION SUCCESS"} 


Este proceso de autenticación - para enviar o recibir los datos asociados a sus usuario - también 
corrige una vulnerabilidad importante que habíamos detectado en nuestros análisis de las 
versiones iniciales de la aplicación y que habíamos reportado a la Agencia Nacional Digital (AND) 
y al MINTIC 29 . 


29 Inicialmente no se usaba el token de autenticación que se puede observar aquí, la autenticación sólo requería 
un número de usuario hexadecimal y secuencial. Con la forma de autenticación previa (sin token) se podía permitir, 
conociendo el número de un usuario, acceder a sus datos y los de otros usuarios. Esto se reportó en su momento, 
en nuestro informe previo. 
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Como ya se dijo, otro punto que se ha mejorado, desde el punto de vista de la seguridad digital 
de los datos personales se puede observar en envío del reporte de salud: 


Sin SIM 4=18 p. m. 

< Autodiagnóstico Fundación 

Selecciona los síntomas 
que presentas: 


Fiebre 

O 


Dolor de garganta 

o 


Congestión nasal 

o 


¡‘, Tos 

o 



POST https://apicov¡d2.and.gov.co/diagnosis/api/v2.O/question HTTP/1.1 
Content-Type: application/json 
Content-Length: 1363 
Connection: keep-alive 
Accept: application/json 

User-Agent: CoronApp-Colombia/1.28.23 (co.gov.ins.coronapp; build:127; ¡OS 13.6.1) Alamofire/4.9.1 

Authorization: Bearer eyJraWQ¡OiJNa2FMUHVsVWVFT2lqdGRVYlgOVmMybUclK2M2R3k3UEtUSngzaU91bWUOPSIslmFsZyl6IIJTMjU2ln 

eyJzdWI¡Oil2MTExNDE0YS04YTQ5LTQlMzUtYjAlNSljMTdhOGIzYjk3MGUiLCJhdWQ¡O¡l2ZWhxNjRwMfnJtZjlxM2JmaWxvZWZjbjQzZylslm> 
2ZW50X2lkljoiNmQyYTF¡MTctMzFiZi00ZGJhLWE4OTktMWFiNWM5NjYxMmM3liwidG9rZW5fdXNlljoiaWQ¡LCJjdXN0b206Y2VsdWxhcil6lj^ 
lMDU5NDM0MTAiLC|hdXRoX3RpbWU¡OjElOTc4NzE4ODcslmlzcyl6lmh0dHBzOlwvXC9jb2duaXRvLWlkcC51cyllYXN0LTEuYWlhem9uYX< 
zLmNvbVwvdXMtZWFzdCOxX3cyOHEyOENhMCIslm5pY2tuYWllljoiNWYzZDk2ZDQOMDBkZDAwMDAxOThhYWQ4liw¡Y29nbmlObzplc2M 
bmFtZSI6ljVmM2Q5NmQ0NDAwZGQwMDAwMTk4YWFkOCIslmV4cCI6MTU5Nzg3NTQ4Nyw¡aWF0ljoxNTk3ODcxODg4fQ.HSNJhuL2B— 
tSbXYX5DSobDyY3S3dQEKna4-wwoilps-iLLElgMF Jlb--FGuZGJgBG3-sPwTbkg2VdmD7dWTm9zBC- 
ELxD7PLWlddMxkStQF4Gx3zVeB6qitce04qCNX¡_TJUvFfZfn8en8jf39celOzwlPaNAQa7n20xW7NPtn5Q9Lv2sRuXn- 

4fHOuoRyhz2bHgHSKtBGOaFS5uPDVbW2ttXuvzL6fjlWNo7JaRlzSll8sgxgt36k4QHdXzGsYqM6sCOsgaQpDFPflZOUatGcJsCcTvNRZ312 
CzsjXWkToelSt8oiLlxxzlPXqVqt4clPN-_ZBuovR9zedfkGg 
Accept-Language: es-CO;q=1.0, fr-CO;q=0.9 
Host: apicovid2.and.gov.co 


{ "id usuario 5f3d96d4400dd0000198aad8", id household ':"'/ preguntas' :!{ id :"c9a60560-97b2-47da-9e70-30ca29b98add ', 
respuestas ":["a3e3d8ef-98e4-4287-80cd-al633817fe08","f2e77a65-cld9-44db-83al-8572228a3f2b'', 
elfc51a9-b658-4f2a-b0b9-963a2b3d94ba "/' 450de030-b920-4192-be81-0b0b21ae7361 "]>,{" id 
cdbc8c94-a47d-4f05-9bb6-b3cde9dd8fcd '/ respuestas' :["42f6a2bf-d4ce-443d-b0f4-db0bf6ea3a97", 
Iel62809-e09b-4a6d-bcdf-615668a5e5f3"]},{ id ':" 5aldd7ae-b099-4381-a7c8-d3d82abbb6dl '/' respuestas ":[ 
24beff6a-c3b4-4b6d-8910-lae30965a342',"a81b4cld-3302-45aa-bb57-a6865f916c46',"4a732454-e5ea-4c70-904b-4155dab84ffa "]},{ 
respuestas:!" 7129174f-e c7d -4449-b 4a 5-8e965f99787a" , " 9773a c99-f6ce -4615-b 176-f0555b d9037d" , 
Iedcd292-ce02-45be-b417-cf3293d41cb0"]/' id 3aa6a7d 3-53ce-4860-af 22-718f83f 5b 8fc"},{'' respuestas":! 
ebec7eec-cfec-4ddd-9677-5847cb3fc690"], id : "c56d6fc8-0ab0-4ade-89e3-bbb58b3d025a"},{ "respuestas 1 :1 

09930739-36cc-4fa9-92dl-523fd4e964cd "/ d286a541-9bd3-4ea6-82a6-ca9e73c083ba"/ c303c6d5-e9a8-4272-86d2-2b5f80d66fe8"]/ id 
"b478c479-e0e4-4f5c-93a8-da5e3afcl5f3" },{ "respuestas ":I" 22cf3923-850c-49f6-b0f7-56c3bb9bbbd3"],"id ": 
504f8394-ad32-4ea8-b279-d59a5c9d51d9"}], "fecha" :"19V08\/2020 16:18:30"/ longitude“:"-74.05993381331403"/ diagnostico": 
165389f5-1 61b-47f2-a7f5-20bed053262d"/'latitude":" 4.707235611340357", "device id" :"B6FF9D05-31EE-41E3-BD57-278106090C6E"} 


Se puede observar que los datos de salud también se envían ahora con el protocolo seguro 
HTTPS (método POST) y además en una forma codificada en el contenido del paquete. 

Al final de este paquete de datos, se observa también que la aplicación envía las coordenadas 
GPS del dispositivo (partes "longitude"y "latitude"). Este uso de la localización sumada al rastreo 
de contacto, ha sido criticado tanto por nosotros cómo por muchas organizaciones en el mundo, 
en una perspectiva de privacidad. Sin embargo, hay que reconocer que el momento del reporte 
de salud es el único momento en el que detectamos un envío de la ubicación, lo que corresponde 
a la información entregada al momento de dar la autorización de acceso a la ubicación (ver parte 
1). Esto plantea nuevas preguntas, ¿de qué sirve tener esta ubicación?, la persona podría estar 
en cualquier lugar cuando hace el reporte, en su casa, en su trabajo, en el bus, en la calle. 
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2.3 Rastreo de contactos por Bluetooth 


En otras publicaciones, ya hemos explicado y criticado la implementación del rastreo de contacto 
digital en su forma centralizada y su combinación con la localización por GPS. La intrusividad 
de este modelo y las dudas sobre el respeto a la privacidad de las personas usuarias de estas 
aplicaciones, hizo que Google y Apple desarrollaran un protocolo diferente y que ofrecieran 
un API a los gobiernos para tener aplicaciones "descentralizadas" y no almacenan de forma 
predeterminada los identificadores de los dispositivos en un servidor sino localmente 30 . Dentro 
de las condiciones de uso del API de notificación de exposición al COVID de Google y Apple hay 
una prohibición explícita a que la aplicación pida el permiso de acceso a la ubicación 31 que se 
controla al nivel del sistema operativo. Es decir, una aplicación que pide acceso a la ubicación 
(cómo Coronapp-Colombia) no puede usar la API de Google y Apple 32 . Probablemente por esto, 
las autoridades colombianas decidieron usar otro algoritmo y protocolo para la notificación de 
exposición: BlueTrace 33 . 

En el análisis de tráfico de la aplicación en ¡OS, se pudo observar este uso del rastreo de contacto 
por Bluetooth vía la implementación "OpenTrace 34 " del protocolo BlueTrace. Aquí, se observa en 
esta solicitud y su respuesta hacia los servidores de CoronApp-Colombia (dominio "apicovid2. 
and.gov.co"), la generación de los identificadores temporales, enviados por el servidor a la 
aplicación: 


POST https://apicovid2. and.gov. co/opentrace/api/vl.QfrempId/generate HTTP/1.1 

Content-Type: application/json 

Content-Length: O 

Connection: keep-alive 

Accept: */* 

User-Agent: CoronApp-Colombia/127 CFNetwork/1128.0.1 Darwin/19.6.0 

Authorization: Bearer eyJraWQiOiJNa2FMUHVsVWVFT2lqdGRVYlgOVmMybUclK2M2R3k3UEtUSngzaU91bWUGPSIslmFsZyl6IIJTMjU2lnC 

eyJzdWliOil2MTExNDEOY5G4YTQ5LTQlMzUtYjAlN31jMTdhOGIzYjk3MGUiLCJhdWQiOil2ZWhxNjRwMmJtZjlxM2JmaWxvZWZjbjQzZylslmV 

2ZW50X2lkljDÍNmQyYTFiMTctMzFiZi00ZGJhLWE4OTktMWFiNWM5NjYxMmM3liwidG9rZW5fdXNlljoiaWQiLCJjdXN0b206Y2VsdWxhcil6ljM 

lMDU5NDMQMTAiLCJhdXRoX3RpbWUiOjElOTc4NzE4ODcslmlzcylGlmhQdHBzOlwvXC9jb2duaXRvLWlkcC51cyllYXN0LTEuYWlhem9uYXd 

zLmNvbVwvdXMtZWFzdCGxX3cyOHEyOENhMCIslm5pY2tuYWllljoiNWYzZDk2ZDQOMDBkZDAwMDAxOThhYWQ4liwiY29nbmlObzplc2Vy 

b m Ft Z S161 j Vm M 2Q5N m QON D A w Z G Q w M D A w MTk4Y W F kO CI s I m V4cC 16MTU 5N z g 3NTQ4Ny w i a W F OI j oxNTk30 D cxO D g 4f Q. H S NJ h u L 2B-- 

lSbXYX5DSobDyY333dQEKna4-wwoilps-iLLElgMF_ilb~FGuZGJgBG3-sPwTbkg2VdmD7dWTm9zBC- 

E LxD 7P L WI d d MxkSt QF 4Gx3zVe B 6q it ce 04q C NXi TJ UvFfZfn Be n Bjf39ce 10 z w IP a NAQa 7n 20xW 7N Pt n 5Q9Lv2s RuXn- 

4fHOuoRyhz2bHgHSKtBGOaF35uPDVbW2ttXuvzL6fjlWNo7JaRlzSll8sgxgt36k4QHdXzGsYqM6sCOsgaQpDFPflZOUalGcJsCcTvNRZ3129 
C z sjXW kTo e 1 St 8o i L Ixxz I PXqVqt 4cl P N - Z B u ovR9z e dfkG g 
Accept-Language: es-es 
Host: apkovid2.and.gov.co 


30 Para más detalles sobre este tema, se puede leer este artículo en nuestro sitio Internet: 

https://web.karisma.org.co/aplicaciones-de-rastreo-digital-de-contactos-para-que-zapatos-si-no-hay-casa/ 

31 Extracto de estas condiciones: "Your App may not request the location, Bluetooth_Admin, SpecialAccess, Privi- 
leged, or Signature permissions, or collect any device information to identify or track the precise location of end 
users.", 

https://blog.google/documents/72/Exposure Notifications Service Additional Terms.pdf 

32 En el momento en el que escribe este texto, Google ha publicado aplicaciones que pueden ser usadas como base 
por los países para sus implementaciones nacionales y Apple esta por hacerlo, 

https://www.google.com/covid19/exposurenotifications/ 


33 https://en.wikipedia.org/wiki/BlueTrace 

34 https://github.com/opentrace-community 
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HTTP/1.1 200 OK 

Date: Wed, 19Aug 2020 21:18:08 GMT 
Content-Type: application/json; charset=utf-8 
Connection: keep-alive 
Server: Kestrel 
api-supported-versions: 1.0 


{"templds":[{ "tempID": 

"qiQRGhhU4bC9pS5LEQr717srvBHMrsshl9YwiR+asKwGrBlMZboVB817hOMmnYllGc5YqWyKt98E7HpqKeV16Unam/Dx98Cvgzl9U66sXul = ", 
" startTime" : 1597871828, " expiryTime" : 1597872728}, { "tempID" : 

" gj N m 2vO 6fvG q w C 41N i 5Z 9b P C d Y2YT/H Oz Qq D Qc/G M U P 6E 8C1 n rh I Gf F 8 L p/7n 9KK+vB/fTEt 8KZ m 12t M vL U/YNfTiTN j 1 g 6b 6B/u F RKr29A=" , 

" startTime" : 1597872728, " expiryTime" : 1597873628}, { "tempID" : 

"xZvWOPmOEaySarQtRvzBBiv5KtZRdTfuQ5WCp6BaREnzWwzD+bwrJdXJtUI9YSxmxJtePlzEPY/2/yZhnUPmA7NEhUDgLI79v2WG9QK9jZQ=", 
" startTime" : 1597873628, " expiryTime" : 1597874528}, { "tempID" : 

" e Z u892z i Z N/5S SJ O Y5B 3u 4VM Qe 3Dt VIW 9m + 7Ef L M P QGJI k W + G 2j kj Ot QS j W 49C51X28 2XKF F As 0/8IT9Q0q 15611 j N D s Rl o bxs N rs s KJf Z w=" , 

" startTime" : 1597874528, " expiryTime" : 1597875428}, { "tempID" : 

"maJj2+NDYolb7w+YLNzw90xnkKJvYf+ eY2lhGv8oFOu2IKLe2xRBS5Kk+boKF4mPUnEeUalpyH3Bu8BWmHl+abndiziCaCWXGWj2GyxT9lg=", 
" startTime" : 1597875428, " expiryTime" : 1597876328}, { "tempID" : 

" j VOt s n QN a H M Z d kA7+cH w ry IM Ob m vgfj e s R70f u G 6k H p KfYb rH rd raxhX7e s Km j KE z O 4M m DT9QA002R4DI i 6Xa Y+6L L N IxKb nTh G OG vS s+1 g=" , 

" startTime" : 1597876328, " expiryTime" : 1597877228}, { "tempID" : 

" cN Kq 9p M d Y+Fxl + o 4U i dTzy U 3vVO L1S e H H P 7u QO wTq kP Rvg I u r Rf n e kKI s + e K5i M Al kbTP Z 2SID h kf 1 + F W WP G VS cY8n 8RP h N E e V/m 3m WTA=" , 
"startTime" : 1597877228, "expiryTime" : 1597878128}, { tempID" : 

"HWiaxQCLkNSZ7sjYNLvVdSTJLUBvxGZdFRX/kQ9ClQdNugtmmB2EMtyX9W5ee4dDLFygt48vKkEguHIQaait2inyirMG/phWld5naah7Q10=", 

" startTime" : 1597878128, " expiryTime" : 1597879028}, { "tempID" : 

" p/f +/j Oj CJ QZy L OZ caTTy 3Tz 16ck8D g n 12M kd 7H G W D j QC QO 7Rj E u 5F RxH H 8A4UtfA32U Yl Sy ny a N H KAVU O + 3of U QM1 OvH vR6DXA5o 71 Dt G 0=" , 

" startTime" : 1597879028, " expiryTime" : 1597879928}, { "tempID" : 

"l6lsKuT4dlqhlVJwAp3TTAtTzodcqOqUycudz3q3lDgROHV1907DI2CLpRVYNMkLwoqOQ5uJeRGUHSgRvu9ZBEB/nlNwpwkWlkBjmV6eiQ=", 

" startTime" : 1597879928, " expiryTime" : 1597880828}, { "tempID" : 

" E KP 9M VL C W Rl n 8m/e 81 + d p q U836E QVcF KC 2y w n 0/QrM I z + O u O 4ARq o M 8 w kax3a G+YF bTo a kZ UxO/n C 8cd s 6J z i j I vUXYi N s 8 kq qty x9g S j 1 Y=" , 

" startTime" : 1597880828, " expiryTime" : 1597881728}, { "tempID" : 

" 66e w jT6vro p S kfxU 01 i 4AhxS rFy U W qy G rt S P G u V w E b kVuTZ e w WJ kvd/sx5YVfAYcuThy i S F j FT7N H h m Hxd 9g 2XF P 6ArOG q kn N C Yn 3n F 8 5j I=" , 

" startTime" : 1597881728, " expiryTime" : 1597882628}, { "tempID" : 

" + D08Xph9Rmz+NJtQsOQwaWl/LG/+lHCinE2mMewsoJn/FuzWQ/WgHW6/7vT3NFEj6AKt3DJUfDlw3xYRoullkOm/DtE3mLjk/hyLYhtiDLU=", 

" startTime" : 1597882628, " expiryTime" : 1597883528}, { "tempID" : 

" N K/n py C U aTe Z Ob b jT3kn QcYxN RF 13KxE 25U u RU P Vvb m j U o e An e rcZ Vrf F 5Qx/n aj cc2m v30S S d W o D 24Vh UXH O 2Z Ixl RP 4a 8 C 81E rOl z c3AU=" , 

" startTime" : 1597883528, " expiryTime" : 1597884428}, { "tempID" : 


El hecho de que estos identificadores sean generados y enviados desde el servidor y no 
directamente por la aplicación es característico de un protocolo de rastreo de contactos 
centralizado, menos protector de la privacidad. 

2.4 Estatus o "pasaporte" de movilidad 

Después de haber completado el formulario de registro y de reporte de salud (reportando 
síntomas), se puede completar otro formulario para generar un "estatus de movilidad". La 
terminología que se muestra es una y es interesante analizar que en la dirección (URL) contactada 
para generar este "estatus" la terminología es otra: "pasaporte" (passport), cómo se muestra 
aquí en la captura: 


POST https://apicovid2.and.gov.co/passport/api/v6.0/QR/generate HTTP/1.1 

Content-Type: application/json 

Contení-Length: 54 

Connection: keep-alive 

Accept: application/json 

User-Agent: CoronApp-Colombia/1.28.23 (co.gov.ins.coronapp; build:127; ¡OS 13.6.1) Alamofire/4.9.1 

Authorization: Bearer eyJraWQiOiJNa2FMUHVsVWVFT2lqdGRVYlgOVmMybUclK2M2R3k3UEtUSngzaU91bWUOPSIslmFsZyl6IIJTMjU2lnO 

eyJzdWIÍOÍI2MTExNDEOYS04YTQ5LTQlMzUtYjAlNSljMTdhOGIzYjk3MGUÍLCJhdWQÍOM2ZWhxNjRwMmJtZjlxM2JmaWxvZWZjbjQzZylslmV 

2ZW50X2lkljoiNmQyYTFiMTctMzFiZi00ZGJhLWE4OTktMWFiNWM5NjYxMmM3liwidG9rZW5fdXNlljoiaWQiLCJjdXN0b206Y2VsdWxhcil6ljM 

lMDU5NDM0MTAÍLCJhdXRoX3RpbWUÍOjElOTc4NzE4ODcslmlzcyl6lmh0dHBzOlwvXC9jb2duaXRvLWlkcC51cyllYXN0LTEuYWlhem9uYXd 

zLmNvbVwvdXMtZWFzdCOxX3cyOHEyOENhMCIslm5pY2tuYWllljoiNWYzZDk2ZDQOMD8kZDAwMDAxOThhYWQ4liwiY29nbmlObzplc2Vy 

b m Ft Z S161 j Vm M 2Q5N m QON D A w Z G Q w M D A w MTk4Y W F kO CI s I m V4cC 16MTU 5N z g 3NTQ4Ny w i a W F 01 j oxNTkSO D cxO D g 4f Q. H S NJ h u L 28 - 

tSbXYX5DSobDyY3S3dQEKna4-wwoilps-iLLElgMF ilb—FGuZGJgBG3-sPwTbkg2VdmD7dWTm9zBC- 

E LxD 7P L WI d d MxkSt QF 4Gx3z Ve B 6q it ce 04q C NXiTJ U vFf Zf n 8e n 8jf 39ce 10 z w IP a N AQa 7n 20x W 7N Pt n 5Q9L v2s RuXn- 

4fHOuoRyhz2bHgHSKtBGOaFS5uPDVbW2ttXuvzL6fjlWNo7JaRlzSll8sgxgt36k4QHdXzGsYqM6sCOsgaQpDFPflZOUatGcJsCcTvNRZ3129 
C z sjXW kTo e 1 St 8o i L Ixxz I PXqVqt 4cl P N - Z B u ovR9z e dfkG g 
Accept-Language: es-CO;q=1.0, fr-CO;q=0.9 
Host: apicovid2.and.gov.co 


|{ " userid" : " 5f3d96d4400dd0000198aad8", " options" : [" N"]} 
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En un momento en que la aplicación CoronApp-Colombia - a pesar de la falta de base legal para 
esto - se ha promocionada como obligatoria en ciertos casos, por ejemplo para viajar en avión 
en el país 35 , esto no es anecdótico. Esperamos que no se traduzca en una intención de poner en 
las manos de la sola tecnología y de algoritmos que combinan un análisis automático de auto- 
reportes de salud asociados a su localización, combinado con rastreo de contacto, la entrega de 
un "pasaporte" de salida y viaje. 


Aunque por un lado se anuncie -por parte del gobierno- que el uso de Coronapp-Colombia 
es voluntario, por el otro, se expiden normas donde la aplicación es un requisito para realizar 
ciertas acciones como ir al lugar de trabajo o viajar en avión, lo cual hace la aplicación obligatoria 
para ciertas personas. Esto va en contra de los principios éticos dispuestos por la OMS para 
este tipo de aplicaciones 36 donde indica que la participación en estas iniciativas por parte de la 
población debe ser voluntaria. El hecho de que la aplicación tenga una sección con un estatus 
de movilidad basado en el color de un código QR -copiado del modelo Chino- y la obligatoriedad 
soterrada en normas específicas, dejan serias dudas sobre la intención del gobierno de mantener 
el uso de Coronapp - Colombia voluntario. 


En el caso de Fundación Karisma, que 
reportó fiebre y malestar, el resultado no 
fue muy positivo (con un nuevo reporte 
y un nuevo pasaporte generado el 31 de 
agosto del 2020): 


ENTENDIDO 

Debes contar con un 
autodiagnóstico de las últimas 
24 horas para generar tu 
estatus de movilidad 

ENTENDIDO 


Sin SIM 7:00 p. m. 

Mi estatus de movilidad 


®3 


<- 


No autorizad^), no 
cumples con ninguna 
excepción 



>£ Bluetooth activado 

De acuerdo con lo que has declarado, tu razón 
no se encuentra en las excepciones establecidas 
por la normas, ni los lincamientos anteriormente 
mencionadas. Debes permanecer en aislamiento 
preventivo obligatorio. 


35 Ver por ejemplo este artículo del Espectador: 

https://www.elespectador.com/noticias/economia/cuales-son-los-requisitos-para-los-vuelos-nacionales/ 

36 https://www.who. int/publications/i/item/WHQ-2019-nCoV-Ethics Contact tracing apps-2020.1 
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No existe documentación o pronunciamiento alguno por parte del gobierno o los desarrolladores 
de la aplicación donde se expliquen los criterios usados en esta funcionalidad, no se sabe a 
ciencia cierta cuál es su finalidad ni qué parámetros o condiciones se usan para decidir si el 
código QR está en verde o rojo. 

2.5 ¿Qué datos recibe Apple sobre el uso de la App? 

Quisimos ir más allá de la política de privacidad de Apple para responder a la pregunta sobre los 
datos que recibe Apple del uso de la aplicación CoronApp-Colombia, en particular para confirmar 
el hecho de que las autorizaciones vinculadas con "SIRI y Buscar" no implican transmisión de 
informaciones sobre los usos detallados de la aplicación cómo datos de salud por ejemplo (ver 
parte 1.3). Lo investigamos por dos vías: 

1. vía una búsqueda en la captura de flujo que hicimos; 

2. vía la posibilidad de descargar los datos personales almacenados por Apple, lo que 
se puede hacer desde el sitio web de la compañía 37 . Esta funcionalidad se propone para 
responder a la exigencia legal de acceso a los datos personales presente en la mayoría de 
las leyes de protección de datos del mundo 38 . 


En cuanto a la captura de flujo, sólo 
dos paquetes dirigidos a los servido¬ 
res de Apple contienen "coronapp". 
El primero es el siguiente: 


POST https://p70-buy.itunes.apple.com/WebObjects/MZFastFinance.woa/wa/inAppCheckDownloadQueue FCI 
X-Apple-Tz: -18000 

Cookie: X-Dsid=17270887412; xt-src=b; xp_ab=l#Jv0scgz+-2+cqGakZUl#HnWlxce+-2+lqhe3XT2#isjllbm+-2H 
ffffffff 12a5ad0945525d5f4f58455e445a4a42378b; wosid-lite=BmyQVa0g8ozxlqbhmiRbcw; mz_at_ss1-172708874 
AwQAAAGLAAH9xQAAAABe9AYmtSMcotdpdcm9cJ0QmUK+sflN0LI=; countryVerified=l; xt-b-ts-17270887412=15 
3700139-70-mr23; xp_ci=3z2GfRH5zC19z52SzC6QzJhcRj3AA; vrep=CPSns6tAEgQICBAAEgQICRAAEgQIAhAAEgQIA 
AAAAAAAAAAF8LxOrmk3Ttgw6KBn5UVEnFJ5Ku7jnk3R/DRTdNdRtgxNj5C/SdmU3bpdUFOqPbDyBY6qf8ob5zTC13T 
RTnnOttlBeqvles3vd77Epkf3PqCI358epw¡t+a82GFvofH6IOZCqqHOwLFWs/QtV¡hxBJEVNKilGfoq3ZrAtwq7w8VSY 


<?xml version="1.0" encoding="UTF-8"?> 

<!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN" ' http://www.apple.eom/DTDs/PropertyList-l.0.dtd 
<plist version="1.0"> 

<dict> 

<key>appAdamld</key> 

< st ri n g >1502037648</st ri n g > 

<key>appExtVrsld</key> 

< st r i n g >837185580</st r i n g > 

<key>bid</key> 

<string>co.gov.ins.coronapp</string> 

<key>bvrs</key> 

<string>127</string> 

<key>guid</key> 

<string>e5bcf396e4612fl7672e0f2f8fb430aa9ec425c7</string> 

<key>serialNumber</key> 

<string>DX3ZW9A3HG7F</string> 

<key>vid</key> 

<string>B6FF9D05-31EE-41E3-BD57-278106090C6E</string> 




37 Hace falta primero conectarse con su Apple ID desde esta página: https://privacy.apple.com/ 

38 En Colombia, el artículo 8 de la Ley 1581 de 2012 ("Habeas data") se refiere a este derecho: "El Titular de los datos 
personales tendrá los siguientes derechos: a) Conocer, actualizar y rectificar sus datos personales frente a los Respon¬ 
sables del Tratamiento o Encargados del Tratamiento." 
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Transmite vía el protocolo HTTPS al subdominio "itunes.apple.com" la referencia de la aplicación 
usada, junto con su versión, los números de serie y de identificación de nuestro dispositivo. 

Estos datos se encuentran también en uno de los archivos recibidos vía el pedido realizado en 
línea a Apple: 


Resultado del derecho de acceso a los datos personales 

(“Datos y Privacidad”) 

Resultado Global 

Extracto del archivo "¡Tunes and App-Book 
Re-download and Update History.csv" de 
la carpeta "Información sobre los servicios 
multimedia de Apple 39 " 

Datos y privacidad 

Fecha de la solicitud: 21KW2Q2Q, 807PM Elbrrituí eiia cup a O 

■vomrztym. 47i pm 

lntnrmar»óri sobre kvs Mírvirim mulMrurrlin ríe áppie- 

i rilar di ación sobre-la cuenta de Apple IO f el 

U , 7KB W 

dlSPÍrtlDtvú 

Q oniirw store <¡ Apote Star* S7 oytet © 

0 AetlMdHtMi Apote Pay No hfrf ditos 0 

< AppteCjre No hay datos 0 

£ Oame Centef 2 KB © 

Marcadores de ictaud 445 Byte-s © 

12 Calondürigs y n^pniieorigí, da ¡Cbud 2 KÜ © 

U | Contactes d* icloud fllBBytrs© 

de-^lwfll no hay ditos $ 

llu^ M No ihrty datos 0 

0 Comunicados d«i rruiVcliny € SS E¡v'l*i:- © 

Apple ID Numben: “17270887412" 

Activity Date: "2020-09-03T09:ll:15" 
Content Type: "iOS and tvOS Apps" 

Item Refenence Numben: "1502037648" 

Item Descniption: “CoronApp- 
Colombia" 

Versión Text: "1.0.29" 

Seller: "Instituto Nacional de 

Salud" 

Device Details: "AppStore/3.0 
iOS/13.6.1 model/iPhone9 

3 hwp/t8010 build/17G80 (6; dt:139) 

AMS/1", 

Device IP Address: "186.31. XXX.XXX" 40 

Device Identifier: 

396e4612fl7672e0f2f8fb430aa9ec425c7" 


Se puede resaltar que las fechas/horas de este evento registrado en los servidores de Apple 
y del paquete de datos mostrado más arriba coinciden. De todos los archivos entregados por 
Apple - que corresponden a la información que almacenan en sus servidores vinculada al Apple 
ID de nuestro teléfono - no hay otros archivos, de los recibidos, que contienen "coronapp". 

El segundo paquete identificado tiene cómo destino el dominio "gspl 0-ssl.apple.com"y contiene 
pocos datos además de la identificación de la aplicación y de la características del equipo. Una 
parte de ellos son cifrados o codificados. 


39 Hay otras líneas como ésta, correspondiendo a otros momentos en los cuales se usó la aplicación. 

40 Aquí se ofusca el final de la dirección IP pero en el archivo recibido, estaba completa. 
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POST https://gsplO-ssl.apple.cam/au HTTP/1.1 
Content-Type: application/x-www-form-urlencDded 
Connection: keep-alive 
Accept: */* 

User-Agent: locationd/2394.0.33 CFNetwork/1128.0.1 Darwin/19.6.0 
Accept-Language: en-us 
Content-Length: 178 
Host: gsplO-ssl.apple.com 

□|]en_US[]com.apple.locatÍQndl3.6.1.17G80f~ 

□ 

□DlOlAPQQiPhone OS13.6.1/17G80Q[ 

□co. gov. ins. coronappGGQx 1 [p @" f |]nf|]@Ó[]@[][]U ® MÓ[|RÁ[][]B-Áti[]E5[][]AIDY%PávÁAh[]08yyyyyyyyy [] 


Al final, todo parece indicar que la información que se colecta sobre el uso de la aplicación es 
poca y no tiene que ver con su contenido o con informaciones de salud. Los envíos parecen 
indicar a Apple que se está usando la aplicación, en que versión y junto con los identificadores 
del dispositivo. 
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¿Conclusión? 

A lo largo de este artículo, describimos el análisis que realizamos a la aplicación CoronApp- 
Colombia, instalada en un dispositivo Apple, un mundo que hasta hace poco K+LAB no conocía 
mucho. A través de estos análisis, confirmamos que no es fácil abrir el capot de un iPhone. Este 
está bien sellado por el modelo de Apple y poca documentación está disponible para hacer este 
tipo de análisis. Además se necesitan herramientas de Apple para analizar dispositivos de Apple 
(por ejemplo Apple Configurator que sólo se puede instalar en un MAC). Sin embargo, teniendo 
herramientas y un dispositivo supervisado, se puede ir bastante profundo, entrar en el archivo 
de instalación de la aplicación, analizar los logs internos del teléfono y los flujos de datos cifrados 
que transmite y recibe. Otra posibilidad interesante es descargar los datos almacenados en los 
servidores de Apple y asociados al dispositivo, en conexión con el derecho de acceso a los datos 
personales. 

También nos sorprendió constatar que el mismo modelo de la aplicación analizada es 
sustancialmente diferente en cuanto a la información que ofrece a las personas usuarias como 
los permisos que concede que son más limitados y por tanto protegen más la privacidad en 
Apple que en Android. Tuvimos una duda en cuanto a los permisos vinculados con "SIRI y Buscar" 
(activados por defecto) y la posibilidad que se transmitan informaciones detalladas sobre el uso 
de CoronApp-Colombia hacia los servidores de Apple. Sin embargo, nuestras investigaciones 
apuntan a que no se envían estos detalles. 

En cuanto a la CoronApp-Colombia, este nuevo análisis confirma que su seguridad se ha 
mejorado después de nuestros informes de seguridad digital y privacidad de abril. Sin embargo, 
se mantienen las preguntas respecto a la privacidad (ver los numerosos artículos en nuestro 
sitio), en particular la combinación del uso del protocolo Bluetooth centralizado (BlueTrace) 
para hacer "rastreo digital de contacto" o "notificación de exposición" de Covid y con permisos 
de acceso a la ubicación. También mantenemos los interrogantes sobre los criterios que usa 
la CoronApp-Colombia para emitir un estatus, que en la práctica terminan volviéndose un 
pasaporte de movilidad, como bien lo expone el nombre de la funcionalidad en el API. Los usos 
que se están dando a esta funcionalidad y las condiciones en las cuales se pueda imponer su uso 
preocupan en la medida en que las recomendaciones internacionales y buenas prácticas sobre 
este tipo de aplicaciones indican que el uso siempre es voluntario y que no se debe obligar a las 
personas a utilizar ni a reportar su estado de salud por medio de este tipo de aplicaciones. En 
cualquier caso se debe dar la información apropiada y contar con mecanismos alternativos que 
permitan garantizar dicha voluntariedad. 
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